Start Cloud SaaS vs. lokal installierte Software: Die Wahrheit hinter den Sicherheitsmythen

SaaS vs. lokal installierte Software: Die Wahrheit hinter den Sicherheitsmythen

26
0


cloud_security_header_1_contentfullwidth

Ich habe kürzlich eine LinkedIn-Diskussion über SaaS im Vergleich zu lokal installierter Software gelesen. Es wurden viele Mythen präsentiert, hauptsächlich um den Agenden der Anbieter und ihren jeweiligen Technologien zu entsprechen (ich weiß, ich weiß – schockierend, dass solche Dinge auf LinkedIn passieren würden).

Die Diskussion führte zu der (falschen) Schlussfolgerung, dass Treasurer bezüglich der Sicherheitsprobleme von Cloud-Software paranoid sind. Ich bin jedoch nicht persönlich auf eine solche Paranoia gestoßen. Was ich stattdessen festgestellt habe, ist, dass Schatzmeister neugierig auf alle Fallstricke sind, die ein Cloud-Bereitstellungsmodell mit sich bringt – wie es sein sollte. In den meisten Fällen beauftragen sie ihre IT-Kollegen, die Sicherheit, Infrastruktur und Technologie einer vorgeschlagenen Drittanbieterlösung zu bewerten. Das Finanzministerium ist oft nicht für diese Einschätzung gerüstet und würde ansonsten riskieren, der Agenda (und den Technologieentscheidungen) der Anbieter zum Opfer zu fallen. Sicherheitsbewertungen konzentrieren sich in der Regel auf drei Bereiche:

1. Unberechtigter Zugriff auf die Hosting-Hardware

Für On-Premise-Software bedeutet dies sozusagen den „Serverraum“. Interne Kontrollen müssen evaluiert werden, um sicherzustellen, dass Mitarbeiter nicht auf die Server oder Datenbanken zugreifen können, in denen Treasury-Daten gespeichert sind. Interessanterweise frage ich, wenn ich auf Treasury-Konferenzen über die Cloud präsentiere, immer, wer Zugang zu dem Serverraum hatte, in dem seine Treasury-Software installiert ist (in seinem Unternehmen) – alle heben die Hand.

Das externe Hosten der Daten zur Bekämpfung dieses Risikos hat einen klaren Vorteil, vorausgesetzt natürlich, dass in der Hosting-Einrichtung Kontrollen wie biometrischer Zugang usw. vorhanden sind. In Wirklichkeit ist der physische Zugang zu den meisten Rechenzentren natürlich genauso schwierig wie der Zugang zu Fort Knox.

2. Unbefugter Zugriff durch Penetrationsangriffe

Dies ist das größte wahrgenommene Risiko, wenn auch nicht das größte tatsächliche Risiko. Medien konzentrieren sich oft auf hochkarätige Unternehmen, die gehackt werden, was darauf hindeutet, dass die Website eines Unternehmens von außen durchdrungen wurde. Was normalerweise nicht gut verstanden wird, ist, dass die Website selbst nicht oft gehackt wird. es ist der Zugriff darauf (dh der Login-Prozess), der kompromittiert wird. Dies soll nicht heißen, dass Penetrationstests – die von renommierten Firmen durchgeführt werden – nicht vom potenziellen Kunden bewertet werden sollten, um sicherzustellen, dass die Testtiefe mit den internen Sicherheitsanforderungen übereinstimmt. Die Bewertung des Schutzes der Hosting-Site ist wichtig.

3. Unberechtigte Anmeldung bei der Hosting-Site

Dies ist das größte Risiko sowohl für die ASP- als auch für die SaaS-Anwendungssicherheit, einfach weil es sowohl Social Engineering (in der Regel durch Phishing) als auch externe Penetrationsrisiken zu schützen gibt. Beides kann abgeschwächt werden, indem sichergestellt wird, dass starke Passwortkontrollen (Resets, Timeouts, starke Zeichen usw.) sowie eine Zwei-Faktor-Authentifizierung verwendet werden.

Der zweite Faktor können zufällige alphanumerische Tastaturen beim Login, Schlüsselanhänger, Yubikey oder SMS sein. Die IT-Kollegen des Treasury-Teams können genau wie beim Zugriff auf das Webportal einer Bank feststellen, welche Optionen ihren eigenen Sicherheitsrichtlinien entsprechen oder nicht.

Darüber hinaus bewertet die IT die Technologie und Infrastruktur häufig unter Performance-Gesichtspunkten. Kann diese gehostete Anwendung die vom Treasury geforderten Reaktionszeiten einhalten – sowohl im normalen Gebrauch als auch für die Notfallwiederherstellung?

Obwohl jede Anwendung das Potenzial für unbefugten Zugriff birgt, stellt SaaS keine größere Bedrohung dar als intern gehostete Software und ist in vielen Fällen sicherer. Sie müssen auf jeden Fall sicherstellen, dass Sie die Sicherheitsprozesse Ihres Anbieters gründlich überprüfen, aber die Wahl eines seriösen SaaS-Anbieters wird Ihnen helfen, nachts besser zu schlafen.

Bob Stark ist VP of Strategy bei Kyriba

Veröffentlicht unter Lizenz von ITProPortal.com, einer Veröffentlichung von Net Communities Ltd. Alle Rechte vorbehalten.



Vorheriger ArtikelWie wäre es mit einem Android-Klapptelefon mit High-End-Spezifikationen?
Nächster ArtikelImmer Apples neuestes Smartphone mit Sprints „iPhone Forever“ dabei

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein